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(57) Abstract 



The invention relates to a countermeasure method in an electronic component implementing an elliptical curve based public key 
cryptography algorithm, comprising the calculation of a new decryption integer d* such as the decryption of an encrypted message with the 
aid of a decryption algorithm on the basis of a private key d and the number of points n of said elliptical curve whereby the same result is 
achieved with d' as widi d, by performing the operation Q=d*P, whereby P is a point of the curve. The inventive measure is characterized 
in that it comprises four steps: 1) a security parameter s is determined, whereby in practice it is impossible to take s as a neighbour of 30, 
2) a random number k ranging from 0-21s is drawn. 3) the integer d'-d+k*n is calculated, 4) Q«d\P is calculated. 

(57) Abr^^ 

La prdsente invention conceme un proc6d6 de contre-mesure dans un composant dlectronique mettant en oeuvre un algorithme de 
cryptographic k c\€ publique bas^ sur Tutilisation des courbes elliptiques consistant ^ calculer ^ partir de la cl6 priv6e d et du nombre 
de points n de ladite courbe elllptique un nouvel entier de ddchif&ement d* tel que le d^hiffrement d*un message chiffir6 quelconque. au 
moyen d'un algorithme de ddchiffrement, avec d* donne le mfeme rfisultat qu'avec d. en r6alisant Top^ration Q=d*P, P 6tant un point de 
la courbe. proc^d caract6ris6 en ce qu'il comprend quatre Stapes: 1) determination d'un param^tre de s^urit£ s, dans la pratique on peut 
prendre s voisin de 30; 2) tirage d*un nombre al^atoire k compris entre 0 et 21s; 3) calcul de rentier d'=d+k*n; 4) calcul de (J=d'.P. 
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PROCEDE DE CONTRE-MESURE DANS UN 
COMPOSANT ELECTRONIQUE METTANT EN CEUVRE 
UN ALGORITHME DE CRYPTOGRAPHIE A CLE 
PUBLIQUE DE TYPE COURBE ELLIPTIQUE 

La presente invention concerne un precede de 
contre-mesure dans un composant electronique 
mettant en oeuvre un algorithme de chiffrement a 
cle publique de type courbe elliptique 

5 

Dans le modele classique de la crypt ographie a 
clef secrete, deux personnes desirant 

communiquer par 1 ' intermediair e d'un canal non 
securise doivent au prealable se mettre d'accord 

10 sur une cle secrete de chiffrement K. La 
fonction de chiffrement et la fonction .de 
dechif f rement utilisent la meme clef K . 
L' inconvenient du systeme de chiffrement a cle 
secrete est que ledit systeme requiert la 

15 communication prealable de la cle K entre les 
deux personnes par 1 ' interm6diaire d'un canal 
securise, avant qu'un quelconque message chiffre 
ne soit envoye a travers le canal non securise. 
Dans la pratique, il est generalement difficile 

20 de trouver un canal 'de communication 
parfaitement securise, surtout si la distance 
separant les deux personnes est importante. On 
entend par canal securise un canal pour lequel 
il est impossible de connaitre ou de modifier 

25 les informations qui transitent par ledit canal. 
Un tel canal securise peut etre realise par un 
cable reliant deux terminaux, poss6des par les 
deux dites personnes. 



COPIE DE CONFIRMATION 
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Le concept de crypt ographi e ^ clef publique fut 
invente par Whitfield DIFFIE et Martin HELLMAN 
en 1976. La crypt ographie a clef publique permet 
de resoudre le probleme de la distribution des 
5 clefs a travers un canal non s^curise. Le 
principe de la cryptographie a clef publique 
consiste A utiliser une paire de clefs, une clef 
publique de chiffrement et une clef privee de 
dechif f rement . II doit etre calculat oirement 
10 infaisable de trouver la clef privee de 
dechif f rement a partir de la clef publique de 
chiffrement. Une personne A desirant coramuniquer 
une information a une personne B utilise la clef 
publique de chiffrement de la personne B. Seule 
la personne B possede la clef privee associee a 
sa clef publique. Seule la personne B est done 
capable de d^chiffrer le message qui lui est 
adres se . 



15 



20 Un autre avantage de la cryptographie a cle 
publique sur la cryptographie a cle secrete est 
que la cryptographie a clef publique permet 
1' authentif ication par 1 ' utilisation de 

signature electronique . 

25 

La premiere realisation de schema de chiffrement 
a clef publique fut mis au point en 1977 par 
Rivest, Shamir et Adleman, qui ont invente le 
systeme de chiffrement RSA. La securite de RSA 
30 repose sur la difficulte de factoriser un grand 
nombre qui est le produit de deux nombres 
premiers . 
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Depuis, de nombreux systemes de chiffrement a 
clef publique ont ete proposes, dont la securite 
repose sur differents problemes calculatoires : 
(cette liste n'est pas exhaustive). 

5 

- Sac a dos de Merckle-Hellman ; 

Ce systeme de chiffrement est base sur la 
difficulty du probleme de la somme de sous- 
ensembles . 

10 

- McEliece : 

Ce systeme de chiffrement est base sur la 
theorie des codes algebriques. II est base sur 
le probleme du decodage de codes lineaires. 

15 

- ElGamal : 

Ce systeme de chiffrement est base sur la 
difficulte du logarithme discret dans un corps 
f ini . 

20 

- Courbes eiliptiques : 

Le systeme de chiffrement a courbe 
elliptique constitue une modification de 
systemes crypt ographiques existant pour les 
25 appliquer au domaine des courbes eiliptiques, 

L' utilisation de courbes eiliptiques dans 
des systemes cryptographiques fut propose 
independamment par Victor Miller et Neal Koblitz 
30 en 1985. Les applications reelles des courbes 
eiliptiques ont ete envisagees au debut des 
annees 19 9 0. 
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L'avantage de crypt osyst ernes a base de courbe 
elliptique est qu'ils fournissent une securite 
equivalente aux autres crypt osyst erne s mais avec 
des tallies de clef moindres. Ce gain en taille 
5 de cle implique une diminution des besoins en 
memoire et une reduction des temps de calcul, ce 
qui rend 1 ' utilisation des courbes elliptiques 
P^^ti culierement adaptees pour des applications 
de type carte a puce. 

10 

Une courbe elliptique sur un corps fini 
GF(q^n) (q etant un nombre premier et n un 
entier) est I'ensemble des points (x,y) avec x 
I'abscisse et y I'ordonnee appartenant a GF(q^n) 
15 solution de 1' equation : 

y^2=x'^3 + ax + b 

si q est superieur ou egal a 3 et 

20 

y ^ 2 + X * y = X 3 -I- a * X ^ 2 + b 
si q=2 . 

25 Les deux classes de courbes elliptiques les 

plus utilisees en crypt ographie sont les classes 
suivantes : 

1) Courbes definies sur le corps fini GF(p) 
30 (ensemble des entiers modulo p, p etant un 

nombre premier) ayant pour equation: 

y''2 = x^3 + ax = b 
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2) Courbes elliptiques sur le corps fini 
GF(2'^n) ayant pour equation y'^ 2 + xy = x'^ 3 + ax^2-f b 

5 Pour chacune de ces deux classes de courbes, on 
definit une operation d'addition de points: 
etant donne deux points P et la somme R=Ph-Q 

est un point de la courbe, dont les 
coordonnees s'expriment a I'aide des 

10 coordonnees des points P et Q suivant des 

formules dont I'expression est donnee dans 
I'ouvrage « Elliptic Curve public key 
crypt osys tern » par Alfred J. Mene:ses. 
Cette operation d'addition permet de definir une 

15 operation de multiplication scalaire: etant 

donne un point P appartenant a une courbe 
elliptique et un entier d, le resultat de la 
multiplication scalaire de P par un point d 
tel que Q = d , P=P + PP . . . . +P d fois. 



La securite des algorithmes de crypt ographie sur 
courbes elliptiques est basee sur la difficulte 
du logarithme discret sur courbes elliptiques, 
ledit probleme consistant a partir de deux 
points Q et P appartenant a une courbe 
elliptique E, de trouver, s'il existe, un entier 
X tel que Q=x . P 



II existe de 

crypt ograp hi que s bases 
logarithme discret. 



nombreux algorithmes 
sur le probleme du 
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Ces algorithxnes sont facilement t ransposables 
aux courbes elliptiques. Ainsi, il est possible 
de mettre en oeuvre des algorithmes assurant 
1' authentif ication, la conf ident iali t e , le 
5 controle d'integrite et I'echange de cle. 

Un point commun a la plupart des algorithmes 
cryptographiques bases sur les courbes 

elliptiques est qu' ils comprennent comme 
parametre une courbe elliptique definie sur un 
corps fini et un point P appartenant a cette 
courbe elliptique- La cle privee est un entier d 
choisi aleatoirement • La clef publique est un 
point de la courbe Q tel que Q==d,P, Ces 
algorithmes cryptographiques font generalement 
intervenir une multiplication scalaire dans le 
calcul d'un point R=d.T ou d est la clef 
secrete . 

20 Dans ce paragraphe, on decrit un algorithme de 
chiffrement a base de courbe elliptique. Ce 
schema est analogue au schema de chiffrement 
d'El Gamal. Un message m est chiffre de la 
maniere suivante : 

25 

Le chiffreur choisit un entier k aleat oirement 
et calcule les points k.P=(xl,yl) et k.Q=(x2,y2) 
de la courbe, et 1' entier c= x2 + m. Le chiffre 
de m est le triplet (xl,yl,c). 
30 Le dechiffreur qui possede d dechiffre m en 

calculant : * 
(x'2,y'2)-d(xl,yl) et m=c-x' 2 



10 



15 
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10 



25 



Pour realiser les multiplications scalaires 
necessaires dans les precede de calcul decrits 
precedemment , plusieurs algorithmes existent : 

Algorithme double and add " ; 
Algorithme addition-soustract ion " 
Algorithme avec chalnes d' addition ; 
Algorithme avec fenetre ; 

Algorithme avec representation signee ; 



Cette liste n' est pas exhaustive. L'algorithme 
le plus simple et le plus utilise est 
I'algorithme double and add L' algorithme 

double and add " prend en entree un point P 

15 appartenant a une courbe elliptique donnee et un 
entier d, L'entier d est note d= ( d ( t ) , d ( t - i ) , 
ci{0)), ou (d(t) ,d(t-l) ,.,.,d{0) ) est la 

representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le bit de poids faible. 

20 L'algorithme retourne en sortie le point Q=d . P . 

L' algorithme double and add " comporte les 3 
etapes suivantes : 



1) Initialiser le point Q avec la valeur P 

2) Pour i allant de t-1 a 0 executer : 
2a) Remplacer Q par 2Q 

2b) Si d(i)=l remplacer Q par Q+P 

3) Retourner Q. 



30 
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II est apparu que 1' implementation sur carte a 
puce d'un algorithme de chiffrement a cle 
publique du type courbe elliptique etait 
vulnerable a des attaques consistant en une 
5 analyse dif f erent ielle de consommation de 
courant permettant de retrouver la cle privee de 
dechi f f rement . Ces attaques sont appelees 
attaques DPA, acronyme pour Differential Power 
Analysis. Le principe de ces attaques DPA repose 
10 sur le fait que la consommation de courant du 
microproces s eur executant des instructions varie 
selon la donnee manipuiee. 

En particulier, lorsqu'une instruction manipule 
15 une donnee dont un bit particulier est constant, 
la valeur des autres bits pouvant varier, 
1^ analyse de la consommation de courant liee a 
1 ' instruct ion montre que la consommation moyenne 
de 1 ' instruct ion n'est pas la meme suivant que 
20 le bit particulier prend la valeur 0 ou 1. 
L'attaque de type DPA permet done d'obtenir des 
informations supplement aires sur les donnees 
intermedial res manipulees par le micr oproce s seur 
de la carte lors de I'execution d'un algorithme 
25 cryptographique . Ces informations 

supplementaires peuvent dans certain cas 
permettre de reveler les parametres prives de 
1' algorithme de dechiff rement , rendant le 
systeme cryptographique non sur. 
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9 



Dans la suite de ce document on decrit un 
precede d'attaque DPA sur un algorithme de type 
courbe elliptique realisant une operation du 
type multiplication scalaire d'un point P par un 
entier d, I'entier d etant la cle secrete. Cette 
attaque permet de reveler directement la cle 
secrete d. Elle compromet done gravement la 
securite de 1 ' implement at ion de courbes 
elliptiques sur une carte a puce. 

La premiere etape de 1' attaque est 
1 ' enr egist rement de la consommation de courant 
cor re spondant a I'execution de I'algorithme 
double and add " decrit precedemment pour N 
points distincts P(l),..., P(N). Dans un 
algorithme a base de courbes elliptiques, le 
microprocesseur de la carte a puce va effectuer 
N multiplications scalaires d . P ( 1 ),..., d . P ( N ) . 

20 Pour la clarte de la description de I'attaque, 
on commence par decrire une methode permettant 
d'obtenir la valeur du bit d(t-l) de la cle 
secrete d, ou ( d ( t ) , d ( t- 1 ) , ... , d(0)) est la 
representation binaire de d, avec d(t) le bit de 

25 poids fort et d{0) le bit de poids faible. On 
donne ensuite la description d' un algorithme qui 
permet de retrouver la valeur de d. 

On groupe les points P(l) a P{N) suivant la 
30 valeur du dernier bit de I'abscisse de 4-P, ou P 
designe un des points P(l) a P{N) . Le premier 
groupe est constitue des points P tels que le 
dernier bit de I'abscisse de 4.P est egal a 1. 



10 



15 
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Le second groupe est constitue des points P tels 
que le dernier bit de I'abscisse de 4.P est egal 
a 0. On calcule la moyenne des consomma t ions de 
courant corr espondan t a chacun des deux groupes, 
5 et on calcule la courbe de difference entre ces 
deux moyennes. 

Si le bit d(t-l) de d est egal a 0, alors 
I'algorithme de multiplication scalaire 

10 precedemment decrit calcule et met en memoire la 
valeur de 4.P, Cela signifie que lors de 
I'execution de I'algorithme dans une carte a 
puce, le microproces seur de la carte va 
ef f ect ivement calculer 4.P, Dans ce cas, dans le 

15 premier groupe de message le dernier bit de la 
donnee manipulee par le microproces s eur est 
toujours a 1, et dans le deuxieme groupe de 
message le dernier bit de la donnee manipulee 
est toujours a 0. La moyenne des consommat ions 

20 de courant cor r espondant a chaque groupe est 
done differente. II apparait done dans la courbe 
de difference entre les 2 moyennes un pic de 
differentiel de consommation de courant . 



Si au contraire le bit d(t-l) de d est egal a 
1/ I'algorithme d' exponentiation decrit 

precedemment ne calcule pas le point 4. P. Lors 
de I'execution de I'algorithme par la carte a 
puce, le microproces seur ne manipule done jamais 
la donnee 4. P. II n' apparait done pas de pic de 
differentiel de consommation. 
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Cette methode permet done de determiner la 
valeur du bit d(t-l) de d, 

L' algorithme decrit dans le paragraphe suivant 
5 est une generalisation de 1 ' algorithme 

precedant. II permet de determiner la valeur de 
la cle secrete d : 

On definit I'entree par N points notes P(l) a 
10 P(N) cor respondan t a N calculs realises par la 
carte a puce et la sortie par un entier h, 

Ledit algorithme s'effectue de la maniere 
suivante en trois etapes. 

15 

1) Executer h=l ; 

2) Pour i allant de t-1 a 1, executer : 

2)1) Classer les points P(l) a P{N) suivant la 
valeur du dernier bit de I'abscisse de 
20 (4*h) . P ; 

2)2) Calculer la moyenne de consommation de 
courant pour chacun des deux groupes ; 

2)3) Calculer la difference entre les 2 
moyennes ; 

25 2)4) Si la difference fait apparaitre un pic de 
differentiel de consommation, faire 

h = h*2 ; sinon faire h==h*2 + l ; 

3 ) Retourner h . 

30 L'algorithme precedent fournit un entier h tel 
que d = 2*h ou d = 2*h-fl. Pour obtenir la valeur de 
d, il suffit ensuite de tester les deux 
hypotheses possibles . 
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12 



L'attaque de type DPA decrite permet done de 
retrouver la cle privee d. 

Le precede de 1' invention consiste en 
5 1 elaboration de trois cont re-mesures permettant 
de se premunir centre I'attaque DPA precedemment 
decrite* 

Le precede de la premiere contre-mesure consiste 
10 a calculer a partir de la cle privee d et du 
nombre de points n de la courbe elliptique un 
nouvel entier de dechif f rement d' , tel que le 
dechi f f rement d'un message chiffre quelconque 
avec d' donne le meme resultat qu' avec d. 

15 

Dans le cas d'un algorithme crypt ographique base 
sur 1 ' util i sat ion de courbes elliptiques 
realisant I'operation Q=d.P ou d est la cle 
privee et P un point de la courbe, le calcul de 
20 Q=d . P est remplace par le precede suivant en 
quatre etapes: 

1) Determination d'un parametre de securite s, 
dans la pratique on peut prendre s veisin de 30. 

25 

2) Tirage d'un nombre aleatoire k compris entre 
0 et 

3) Calcul de I'entier d'=d-fk*n; 

30 

4 ) Calcul de Q=d' , P . 
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Le precede de la premiere cont r e-mesure comprend 
deux variantes qui concernent la itiise a jour de 
I'entier d' . La premiere variante consiste en ce 
qu'un nouvel entier de dechif f rement d'est 
5 calcule a chaque nouvelle execution de 
1 ' algorithme de dechi ff rement , selon le precede 
decrit precedemment . La seconde variante 
consiste en ce qu'un compteur est incremente a 
chaque nouvelle execution de 1' algorithme de 
10 dechi ff rement . Lorsque ce compteur atteint une 
valeur fixee T, un nouvel entier de 
dechif f rement d' est calcule selon le procede 
decrit precedemment, et le compteur est remis a 
zero. Dans la pratique, on peut prendre T=16. 

Le procede de la premiere cont re-mesur e rend 
done I'attaque DPA precedemment decrite 
impossible en changeant d'entier d de 
dechif f rement . 

20 - 

Le procede de la deuxieme cont r e-mesure 
s' applique a la premiere classe de courbes 
precedemment decrites, c'est a dire les courbes 
definies sur le corps fini GF{p) ayant pour 

25 equation y^2=x^ 3+ax+b . Le procede de la deuxieme 
contr e-mesure consiste a utiliser un module de 
calcul aleatoire a chaque nouvelle execution. Ce 
module aleatoire est de la forme p'= p*r ou r 
est un entier aleatoire. L' operation de 

30 multiplication scalaire Q=d . p realisee dans un 
algorithme a base de courbe elliptique 
s'effectue alors selon le procede suivant en 
cinq e t ape s : 



wo 00/59157 




PCT/FROO/00723 



1) Determination d' un parametre de securite se- 
dans la pratique, on peut prendre s voisin du 
nombre 60; 

5 2) Tirage du nombre aleatoire r dont la 
representation binaire fait s bits; 

3) Calcul de p'=p^r; 

4) Executer I'operation de multiplication 
scalaire Q=d.P, les operations etant effectuees 

10 modulo p''; 

5) Effectuer I'operation de reduction modulo p 
des coordonnees du point Q. 

Le precede de la seconde contre-mesure comprend 
15 deux variantes qui concernent la mise a jour de 
I'entier r. La premiere variante consiste en ce 
qu'un nouvel entier r est calcule a chaque 
nouvelle execution de I'algorithme de 

dechif f rement , selon le precede decrit 

20 precedemment . La seconde variante consiste en ce 
qu'un compteur est incremente a chaque nouvelle 
execution de I'algorithme de dechi f f rement . 
Lorsque ce compteur atteint une valeur fix »e T, 
un nouvel entier r est calcule selon le precede 
25 decrit precedemment, et le compteur est remis a 
zero., Dans la pratique, on peut prendre T + 16. 

Le precede de la troisieme contre-mesure 
consiste a « masquer » le point P sur lequel on 
30 veut appliquer I'algorithme de multiplication 
scalaire en lui ajoutant un point aleatoire R. 
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Le procede de multiplication scalaire d'un point 
P par un entier d suivant Q=d.P comprend les 
cinq etapes suivantes : 

5 1) Tirage d'un point aleatoire R sur la courbe; 

2) Calcul de P'=P-fR; 

3) Operation de multiplication scalaire Q'=d.P'; 

10 

4) Operation de multiplication scalaire S=d.R; 



5) Calcul de Q==Q'- S. 

15 Le procede d^ la troisieme cont re-mesure 
comprend trois variantes. la premiere variante 
consiste en ce qu'un compteur est incremente a 
chaque nouvelle execution de I'algorithme de 
dechi f f r ement . Lors de la premiere execution de 

20 I'algorithme de dechi ffrement , I'algorithme est 
execute suivant le procede en cinq etapes decrit 
precedemment . Tant que le compteur n'a pas 
atteint la valeur limite T, les etapes 1 et 4 du 
procede , decrit precedemment _ne . sont pas 

25 executees, les points R et S gardant les valeurs 
prises lors de 1' execution precedente* Lorsque 
le compteur atteint la valeur limite T, 
I'algorithme de dechi f f r ement s »effectue 
suivant le procede decrit precedemment en cinq 

30 etapes, et le compteur est remis a zero, Dans la 
pratique, on peut prendre T=16. 
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16 



La deuxieine variante consiste en ce que la carte 
possede initialement en memoire deux points de 
la courbe elliptique tels que s=d.R. Les etapes 
^ ^ d& 1' algorithme de dechif f rement 

5 precedent sont remplacees par les etapes 1' et 
4' suivantes: 

1') Remplacer R par 2.R: 

10 4") Remplacer S par 2.S. 

La troisieme variante consiste en une 
modification de la deuxieme variante 

caracterisee en ce qu'un compteur est incremente 

15 a chaque nouvelle execution de I'algorithme de 
dechif f rement , Lors de la premiere execution de 
I'algorithme de dechi f f rement , I'algorithme est 
execute suivant le precede en cinq etapes de la 
deuxieme variante decrit precedemment . Tant que 

20 le compteur n' a pas atteint une valeur limite T, 
les etapes 1' et 4' du precede decrit 
precedemment ne sont pas executees, les points R 
et S gardant les valeurs prises lors de 
1' execution precedente, Lorsque le compteur 

25 atteint une valeur limite T, I'algorithme de 
dechif f rement s'effectue suivant le precede 
precedemment decrit en cinq etapes, et le 
compteur est remis a zero. Dans la pratique, on 
peut prendre T=16. 
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17 



L' application des trois precedes de contre- 
mesure precedents permet de proteger tout 
1 ' a Igor i thme cr ypt ogr aphique base sur les 
courbes elliptiques contre I'attaque DPA 
5 precedemment decrit. Les trois cont re-mesures 
presentees sont de plus compatibles entre elles: 
il est possible d'appliquer a 1 ' algor i thme de 
dechif f rement RSA une, deux ou trois des contre- 
mesures decrites . 
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REVENDICATIONS 

1- Precede de cont re-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 
cryptographie a cle publique base sur 
1 ' utilisation des courbes elliptiques consistant 

5 a calculer a partir de la cle privee d et du 
nombre de points n de ladite courbe elliptique 
un nouvel entier de dechi f f r ement d' tel que le 
dechif f rement d'un message chiffre quelconque, 
aumoyen d'un algorithme de dechif fremet, avec d' 
10 donne le meme resultat qu'avec d, en realisant 
1 ' operation Q=d*P, P etant un point de la 
courbe, precede caracterise en ce qu'il comprend 
quatre etapes: 

15 1) Determination d'un parametre de securite s, 
dans la pratique on peut prendre s voisin de 30; 
2) Tirage d'un nombre aleatoire k compris entre 
0 e t 2 ^ s ; 

20 3) Calcul de I'entier d'=d+k*n; 
4 ) Calcul de Q = d' . P . 

2- Precede de contr e-mesure selon la 
25 r evendicat ion 1 caracterise en ce qu ' une 

premiere variante consiste en ce qu * un nouvel 
entier de dechif f rement d' est calcule a chaque 
nouvelle execution de I'algorithme de 

dechif f rement . 

30 
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3- Procede de cont re-mesur e selon la 
r evendica t ion 1 caracterise en ce qu • une seconde 
variants consiste en ce qu ' un compteur est 
incremente a chaque nouvelle execution de 

5 I'agorithme de dechi f f rement jusqu'a atteindre 
une valeur fixee T. 

4- Procede de cont re-mesure selon la 
r evendicat ion 3 caracterise en ce qu'une fois la 

10 valeur T atteinte, un nouvel entier de 
chiffrement est calcule selon le procede de la 
r evendicat ion 1 et le compteur est remis a zero. 

5- Procede de cont re-mesure selon la 
15 r evendicat ion 3 caracterise la valeur T est 

egale a I'entier seize. 

6- Procede de cont re-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 

20 crypt ographie a cle publique base sur 
1 ' utilisation des courbes elliptiques definies 
sur un corps fini GF(p), p etant un nombre 
premier, ayant pour equation y^2=x^3+ax+b , 
consistant a utiliser un module de calcul 

25 aleatoire a chaque nouvelle execution de la 
forme p*=p*r ou r est un entier aleatoire et 
presentant un point P caracterise en ce que 
ledit procede execute I'operation de 

multiplication scalaire en cinq etapes : 

30 
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1) Determination d'un parametre de securite s; 
dans la pratique, on peut prendre s voisin du 
n ombre 60; 

2) Tirage du nombre aleatoire r dont la 
5 representation binaire fait s bits; 

3) Calcul de p'=^p*r; 

4) Executer I'operation de multiplication 
scalaire Q==d.P, les operations 6tant effectuees 
modulo p' ; 

10 5) Effectuer 1' operation de reduction modulo p 
des coordonnees du point Q. 

7- Procede de contr e-mesure selon la 
revendication 6 caracterise en ce qu ' un nouvel 

15 entier est calcule a chaque nouvelle execution 
de I'algorithme de dechi f f r ement . 

8- Procede de cont r e -mesur e selon la 
revendication 6 caracterise en ce qu ' un compteur 

20 est incremente a chaque nouvelle execution de 
I'algorithme de dechif f rement . 

9- Procede de cont r e-mesure selon la 
revendication 8 caracterise en ce que le 

25 compteur est remis a zero lorsqu'il a atteint 
une valeur T. 

cont re-mesur e selon la 
ou la revendication 9 
que la valeur T est egale a 



10- Procede de 

revendication 8 

30 caracterise en ce 
seize • 
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11- Precede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithine de 
cryptographie a cle publique base sur 

5 1 ' utilisation des courbes elliptiques consistant 
a calculer a partir de la cle privee d et du 
nombre de points n de ladite courbe elliptique 
un nouvel entier de dechi f f rement d' tel que le 
dechif f rement d'un message chiffre quelconque, 

10 aumoyen d'un algorithme de dech i f f r eme t , avec d' 
donne le meme resultat qu ' avec d, en realisant 
I'operation Q=d*P, P etant un point de la courbe 
sur lequel est applique 1 ' algorithme de 
multiplication scalaire en lui ajoutant un point 

15 aleatoire R par un entier d suiavant I'equation 
Q=d*P, precede caracterise en ce qu'il comprend 
cinq etapes suivantes : 

1) Tirage d'un point aleatoire R sur la courbe; 

20 

2) Calcul de P'=P+R; 

3) Operation de multiplication scalaire Q'=d.P'; 
25 4) Operation de multiplication scalaire S=d.R; 

5) Calcul de Q=Q' - S. 

12- Precede 
30 revendicat ion 

compteur est 



de contre-mesure selon la 
12 caracterise en ce qu ' un 
increments a chaque nouvelle 
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execution de 1 ' algorithms de dechi f f rement 
jusqu'a une valeur T. 

13- Procede de cont r e-mesure selon la 
5 revendicat ion 12 caracterise en ce que le 
compteur est reinis a zero une fois atteint la 
valeur T . 



14- Procede de contre-mesur e selon la 

10 revendicat ion 12 caracterise en ce qu • un 
compteur est incremente a chaque nouvelle 
execution de 1 ' algo r i thme de dechiff rement 
jusqu'a une valeur T. 

15 15- Procede de cont re-mesure selon la 
revendicat ion 11 caracterise en ce que la courbe 
elliptique possede en memoire deux points tels 
que S=d*R, les etapes 1 et 4 etant alors 
remplace par les etapes 1' et 4': 

20 

1') Remplacer R par 2.R: 
4') Remplacer S par 2-S. 



25 16- Procede de cont re-mesure selon la 
revendicat ion 15 caracterise en ce qu ' un 
compteur est incremente a chaque nouvelle 
execution de I'algorithme de dechiff rement 
jusqu'a une valeur T. 



30 
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17- Procede de cont re-mesure selon la 
revendi ca t ion 15 caracterise en ce qu ' un 
compteur est incremente a chaque nouvelle 
execution de 1 ' algori thme de dechif f rement 
jusqu'a une valeur T. 
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